|
Nach der sehr dürftigen Hilfe des WebInterfaces sollen
durch diese Option Port-Scan-Angriffe abgewehrt werden, um dieses Sicherheitsloch
zu schließen. Leider gibt es eine Vielzahl von Port-Scan-Methoden
und es würde an dieser Stelle zum einen zu weit führen, diese alle zu erläutern,
und zum anderen auch nichts bringen, weil unklar ist, was und wie der
Router solche Angriffe genau abwehrt, wenn man diese Option aktiviert (ein
Beispiel habe ich unter TCP flag scan erklärt). Ganz allgemein gesprochen, ist
ein Port-Scan der Versuch, offene Ports auf einem Rechner zu finden. Zu diesem
Zweck werden alle, in der Regel aber nur speziell ausgesuchte Ports auf
dem Zielsystem der Reihe nach angesprochen, um festzustellen, ob dieser
Port ,offen' ist (wie das gehen kann, ist ebenfalls beispielhaft unter TCP flag
scan aufgeführt). Sinn macht ein solcher Port-Scan z.B., um zu ermitteln, ob
sich auf dem angegriffenen System ein Trojaner eingenistet und einen oder
mehrere Ports geöffnet hat, um seine Dienste anzubieten. Eine Firewall kann
14
___________________________
Begriffserläuterungen
Port-Scans daran erkennen, dass von einer IP ungewöhnlich viele Verbindungsanfragen
an verschiedene Ports gestartet werden. Die Firewall sollte
solche IP's für eine bestimmte Zeit sperren. Hier sieht man auch gleich die
erste Schwachstelle der ,Port Scan detection' des Vigor: Man kann zwar den
Schwellenwert (,Threshold') in Paketen pro Sekunde einstellen. Wenn der Angreifer
aber sein Angriffsprogramm noch langsamer einstellt, wirkt die Blockade
nicht mehr. Da viele Port-Scanner die Möglichkeit bieten, die Absender-IP
zu fälschen, kann ein Port-Scan auch von beliebig vielen IP's durchgeführt
werden; die Firewall erkennt den Angriff nicht und der Angreifer hat durch die
Fälschung der IP außerdem seine richtige IP getarnt. Die Fälschung kann außerdem
dazu verwandt werden, dem angegriffenen System wichtige Zugänge
zu sperren: Benutzt der Angreifer als Absende-IP z.B. die Adresse des DNSServers
des angegriffenen Systems, so sperrt die Firewall dem eigenen System
den Zugang zum DNS-Server mit der Folge, dass das angegriffene System
nicht mehr ins Internet kommt. Natürlich kann man auf diese Weise auch
,rechtmäßige' Benutzer des Systems ausschließen, indem man deren IP für
den Angriff benutzt. Wie lange die verdächtigen IP's gesperrt werden, lässt
sich der ,Mini-Hilfe' des Vigors nicht entnehmen. Gut wäre es, wenn man bestimmte
Adressen (z.B. den DNS-Server) von der Blockade durch die ,Port
Scan detection' ausnehmen könnte.
In letzter Zeit liest man häufiger von Fehlalarmen im Zusammenhang mit Port-
Scans. Anwender glauben, das Ziel von Hackern geworden zu sein, weil sie
eine Vielzahl von Verbindungsversuchen auf einen bestimmten Port feststellen.
In Wirklichkeit hängt dies mit der dynamischen IP-Vergabe und der Tatsache
zusammen, dass Tauschbörsen immer weitere Verbreitung finden. Wird
nämlich eine IP vergeben, die vorher ein Teilnehmer an einer solchen Börse
hatte, so versuchen die anderen Teilnehmer der Börse auch nach der Neuvergabe
der IP mit dem früheren Inhaber dieser IP Kontakt aufzunehmen. Ob
der Vigor die Blockade auch dann aktiviert, wenn er eine Vielzahl von Verbindungsversuchen
auf denselben Port oberhalb des Schwellenwertes feststellt,
lässt sich der Beschreibung nicht entnehmen.
|
